TROJ_DROPPR.VK — угроза Энциклопедия


  • Тип угрозы: Троян

  • Разрушительность: №

  • Зашифровано:

  • в дикой природе: да

или как файл, неосознанно загружаемый пользователями при посещении вредоносных сайтов.

Сведения о поступлении

Этот троянец попадает в систему в виде файла, сброшенного другим вредоносным ПО, или в виде файла, неосознанно загруженного пользователями при посещении вредоносных сайтов.

Установка

Этот троянец создает следующие папки:

  • %Program Files%\Rublgc yanyc

(Примечание: %Program Files% , обычно в папке C: Files\Program по умолчанию Windows 2000, Server 2003 и XP (32-разрядная версия), Vista (32-разрядная версия) и 7 (32-разрядная версия) или C:\Program Files (x86) в Windows XP (64-разрядная версия), Vista (64-разрядная версия). -bit) и 7 (64-bit).)

Autostart Technique

Этот троянец регистрируется как системная служба, чтобы гарантировать ее автоматическое выполнение при каждом запуске системы, добавляя следующие ключи реестра:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\~x~rxq z

HKEY_LOCAL_MACHINE\SYSTEM\Current0ControlSet\ 90 Wrlkkk qamyca

Other System Modifications

Троянец удаляет следующие файлы:

  • %User Temp%\nsz1. tmp

обычно C:\Documents and Settings\{имя пользователя}\Local Settings\Temp в Windows 2000, XP и Server 2003 или C:\Users\{имя пользователя}\AppData\Local\Temp в Windows Vista и 7.)

It adds the following registry keys:

HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications

HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\
Chopper

HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\
Chopper\Recent Список файлов

HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\
Chopper\Settings

Он добавляет следующие записи реестра:

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\~x~rxq z
ReleiceName = «Wrlkkk qamyca»

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\Wrlkkk qamyca
ConnectGroup = «Ä¬ÈÏ·Ö×é»

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\Wrlkkk qamyca
MarkTime = «2013-10-31 04:32»

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\

Services\ Wrlkkk qamyca
Description = «Amekak vlaaaaoj wdnakeuncyc»

Dropping Routine

Этот троянец сбрасывает следующие файлы:

  • %Temp%\chopper. exe
  • %Temp%\xs.exe
  • %User Temp%\JETF9B1.tmp
  • %System Root%\3266.vbs
  • %Kghocghyaqyqy Файлы%\Rublgcyan .exe

(Примечание: %Temp% — временная папка Windows, обычно C:\Windows\Temp.. %User Temp% — временная папка текущего пользователя, обычно C:\Documents и Settings\{имя пользователя}\Local Settings\Temp в Windows 2000, XP и Server 2003 или C:\Users\{имя пользователя}\AppData\Local\Temp в Windows Vista и 7..

%System Root% — это корневая папка, обычно это C:\. Там же находится и операционная система. %Program Files% — папка Program Files по умолчанию, обычно C:\Program Files в Windows 2000, ) и 7 (32-разрядная версия) или C:\Program Files (x86) в Windows XP (64-разрядная версия), Vista (64-разрядная версия) и 7 (64-разрядная версия).

Этот отчет создается через автоматизированную систему анализа.

Шаг 1

Перед выполнением любого сканирования пользователи Windows XP, Windows Vista и Windows 7 должны отключить Восстановление системы

, чтобы разрешить полное сканирование своих компьютеров.

Шаг 2

Перезагрузка в сейфном режиме

[Learn Atare]

Шаг 3

Удалить этот реестр

[Узнайте больше]

Важный: 2010. привести к необратимому сбою системы. Пожалуйста, выполняйте этот шаг, только если вы знаете, как это сделать, или вы можете обратиться за помощью к системному администратору. В противном случае перед изменением реестра компьютера сначала ознакомьтесь с этой статьей Microsoft.

  • в HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services
    • ~ x ~ rxq z
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
    • Wrlkkk qamyca
  • In HKEY_CURRENT_USER\Software
    • Local AppWizard-Generated Applications
  • In HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications
    • Chopper
  • In HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\Chopper
    • Recent File List
  • В HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\Chopper
    • Настройки

Шаг 4

Удалите этот параметр реестра

[Подробнее]

Важно: Неправильное редактирование реестра Windows может привести к необратимому сбою системы. Пожалуйста, выполняйте этот шаг, только если вы знаете, как это сделать, или вы можете обратиться за помощью к системному администратору. В противном случае перед изменением реестра компьютера сначала ознакомьтесь с этой статьей Microsoft.

  • В HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\~x~rxq z
    • RELEICENAME = «WRLKKK QAMYCA»
  • в HKEY_LOCAL_MACHIN
  • In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Wrlkkk qamyca
    • MarkTime = «2013-10-31 04:32»
  • In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Wrlkkk qamyca
    • Описание = «Amekak vlaaaaoj wdnakeuncyc»

Шаг 5

Поиск и удалите эти компоненты

[Ученится больше]

, может быть, что -то вроде. Убедитесь, что вы установили флажок Искать скрытые файлы и папки
в опции «Дополнительные параметры», чтобы включить в результаты поиска все скрытые файлы и папки.

  • %Temp%\chopper.exe
  • %temp %\ xs.exe
  • %пользователя Temp %\ jetf9b1.tmp
  • %системы root %\ 3266.vbs
  • %программных файлов %\ rublgc yanyc \ kyaghqo.exe

Шаг 6

7777

.

Найдите и удалите эту папку

[ Подробнее ]

Убедитесь, что вы установили флажок Искать скрытые файлы и папки в опции Дополнительные параметры, чтобы включить все скрытые папки в результаты поиска.

  • %Program Files%\Rublgc yanyc

Шаг 7

Перезагрузите компьютер в обычном режиме и просканируйте свой компьютер с помощью продукта Trend Micro на наличие файлов, обнаруженных как TROJ_DROPPR.VK. Если обнаруженные файлы уже были очищены, удалены или помещены в карантин вашим продуктом Trend Micro, дальнейшие действия не требуются. Вы можете просто удалить файлы из карантина. Пожалуйста, проверьте эту страницу базы знаний для получения дополнительной информации.

Шаг 8

Восстановить этот файл из резервной копии будут восстановлены только файлы, связанные с Microsoft. Если эта вредоносная/нежелательная программа также удалила файлы, связанные с программами, которые не принадлежат Microsoft, переустановите эти программы на вашем компьютере еще раз.

  • %User Temp%\nsz1.tmp

Помогло ли это описание? Расскажите, как мы это сделали.

虚拟键 vk 值列表 — 天子 骄龙 — 博客 园 园

键盘 VK 键值 列表

/* Виртуальные клавиши, стандартный набор* /

VK_LBUTTON* /

VK_LBUTTON 0. /

VK_LBUTTON* /

.0017

VK_CANCEL                                    0x03

VK_MBUTTON                                     0x04

 

#define VK_LBUTTON        0x01    //鼠标左键

#define VK_RBUTTON        0x02    //鼠标右键 

#define VK_CANCEL         0x03    //Ctrl + Break

#define VK_MBUTTON        0x04    //鼠标中键/* НЕ граничит с L & RBUTTON */

 

#define VK_BACK           0x08   //Backspace 键

#define VK_TAB            0x09// вкладка 键

#define vk_clear 0x0c

#define vk_return 0x0d // 回 车键

#define VK_SHIFT 0x10 SHIFT 键

VK_SHIFT 0x10 SHIFT 键

VK_SHIFT 0x10 键

VK_SHIFT 0X10 键

VK_SHIFT 0X10 键

VK_SHIFT 0X10.

#define vk_pause 0x13

#define vk_capital 0x14 // caps lock 键

#define vk_kana 0x15

#define vk_hangeul 0x15 / * * *0017

#define VK_HANGUL         0x15

#define VK_JUNJA          0x17

#define VK_FINAL          0x18

#define VK_HANJA          0x19

#define VK_KANJI          0x19

 

#define VK_ESCAPE         0x1B   //Esc 键

 

#define VK_CONVERT        0x1C

#define VK_NONCONVERT     0x1D

#define VK_ACCEPT         0x1E

#define VK_MODECHANGE     0x1F

#define vk_space 0x20 // 空格

#define vk_prior 0x21 // page up 键

#define vk_next 0x22 // page down 键

#define vk_end 0x23 // cond

#define vk_end 0x23 // cond Down

#define vk_end 0x23 // cond Dow Главная 键

#define vk_left 0x25/*方向键*/

#define vk_up 0x26

#define vk_right 0x27

#define vk_dow0017

#define VK_SELECT         0x29

#define VK_PRINT          0x2A

#define VK_EXECUTE        0x2B

#define VK_SNAPSHOT       0x2C   //Print Screen 键

 

#define VK_INSERT         0x2D  //Insert键

#define VK_DELETE         0x2E  //Delete键

. от А до Z (0x41 — 0x5A) */

#define vk_lwin 0x5b // 左 winkey (104 键盘 才 有)

#define vk_rwin 0x5c // 右 winkey (104 键盘 才 有 有 有 有 有 有 有 有 有 有)

#define vk_apps 0x5d //4.

 

#define VK_NUMPAD0        0x60 //小键盘0-9

#define VK_NUMPAD1        0x61

#define VK_NUMPAD2        0x62

#define VK_NUMPAD3        0x63

#define VK_NUMPAD4        0x64

#define VK_NUMPAD5        0x65

#define VK_NUMPAD6        0x66

#define VK_NUMPAD7        0x67

#define VK_NUMPAD8        0x68

#define VK_NUMPAD9        0x69

 

#define VK_MULTIPLY       0x6A //乘

#define VK_ADD            0x6B //加

#define VK_SEPARATOR      0x6C / /除

#define vk_subtract 0x6d // 减

#define vk_decimal 0x6e // 小 数 点

#define vk_divide 0x6f

#define 0x6f

#DEFIN0017

#define VK_F2             0x71

#define VK_F3             0x72

#define VK_F4             0x73

#define VK_F5             0x74

#define VK_F6             0x75

#define VK_F7             0x76

#define VK_F8             0x77

#define VK_F9             0x78

#define VK_F10            0x79

#define VK_F11          0x7A

0017

#define VK_F14            0x7D

#define VK_F15            0x7E

#define VK_F16            0x7F

#define VK_F17            0x80

#define VK_F18            0x81

#define VK_F19            0x82

#define VK_F20            0x83

#define VK_F21            0x84

#define VK_F22            0x85

0016 #define VK_NUMLOCK        0x90 //Num Lock 键

#define VK_SCROLL         0x91 //Scroll Lock 键

 

/*

— виртуальные клавиши Shift и Alt и VK_R*.